Aynı günde "Kişisel Verileri Koruma Kurulu (KVKK)" 2 ayrı veri ihlali bildirimi yayınladı; MNG Kargo ve Sinoz Kozmetik.
Sinoz Kozmetik, 1,4 milyon müşterisinin ad, soyad, e-posta ve mobil telefon bilgilerinin 23 Ağustos'ta ihlal edildiğini, log kayıtlarından tespit ettiklerini açıkladı [1].
Saldırıda şirketin müşteri ve potansiyel müşterilerine ait ad, soyad, e-posta ve mobil telefon bilgileri hackerlar tarafından ele geçirildi. Sızıntı şekli ise, veri tabanı güncellemesi sırasında dışarıya açık durumda olan porttan veri tabanındaki müşteri bilgilerinin ele geçirildiği şeklinde tanımlandı.
Diğer bir veri sızıntısı duyurusu ise MNG Kargo'dan geldi [2]. Veri ihlali, müşteri hesaplarına yetkisiz erişim gerçekleştiren kişi veya kişilerce 'sızma' şeklinde gerçekleştirildiği ve kurumsal bir müşterinin 15 Ağustos'ta sözlü bildirimi üzerine yapılan incelemeler sonucu 23 Ağustos'ta ihlalin tespit edildiği kaydedildi.
MNG Kargo daha sonra ikinci bir açıklama yaptı ve durum tespit çalışmalarına ve gerekli adımların atılmaya başlandığını bildirdi. MNG Kargo tarafından yapılan açıklamada, bireysel müşterilerin etkilenmediği ve henüz sadece 1 kurumsal müşterinin etkilendiği bilgisi verildi.
6698 sayılı Kişisel Verileri Koruma Kanunu 24 mart 2016'da yayınlandı [3]. Çok da gerekli bir kanun olarak zaten yıllardır çıkarılması isteniyordu.
Kanun çerçevesinde kurulan üst kurul KVKK ise 2017 ocak itibariyle çalışmaya başladı [4]. Aradan geçen 4,5 yılda kendilerinden "konferanslara katılmak" ya da "eğitim düzenlemek", "kendilerine bildirilen veri ihlallerini incelemek" ve "veri ihlalleri duyurusu yapmak" dışında bir şey gördük mü?
Hayır göremedik.
Veri sızıntılarını duyurmak iyi bir şey. En azından herkes tetikte olur. Verilerinin sızdığını bilir, mesela şifrelerini değiştirir. Ya da gelen dolandırıcı telefonlarına/maillerine daha dikkatli cevap verir.
Ama duyuru yetmez. KVKK'nın yapması gereken bazı başka işler de var. Örneğin kanunun güncellenmesi, güvenli liman tanımlanması, sadece duyuru değil, yanısıra proaktif çalışmalar yapması gibi.
Bunlara geçmeden rahatsız edici başka bir detaya bakalım.
Son 4,5 yılda Microsoft'tan YemekSepeti'ne, çeşitli bankalardan, bugünkü MNG Kargo, Sinoz Kozmetik'e kadar "n" sayıda veri sızıntısı duyduk, duyuyoruz. Ama KVKK'nın bazı ihlal bildirimlerini yayınladıkları, bazılarını ise yayınlamadıkları görülüyor. Bunların içinde bazı özel firmaların olduğu ve kamu kurumlarındaki ihlallerin de hiç duyurulmadığı iddia ediliyor. Bunu kendilerine sordum. Cevap şöyleydi;
"Kurul Kararlarının yayımlanması konusunda yetki bir kişide değil, Kişisel Verileri Koruma Kurulu’ndadır. Bu yetki, dayanağını Kanundan almakta olup, Kanunun muhtelif maddelerinde verilmiş görev ve yetkiler kapsamında Kurulca gerekli görülen Kurul Kararları kamuoyu ile paylaşılmaktadır. Yine, Kanunda yer alan Kurulun gerekli gördüğü kararları kamuoyu ile paylaşabileceği hükmünden hareketle Kurul, çok sayıda kişisel veri işleyen, bu anlamda kişisel veri ihlallerinin sıkça görülebildiği, özel nitelikli kişisel veriler gibi özellikli koruma gerektiren kişisel verilerin işlenmesi süreçlerine ışık tutabilmek, benzer ihlallerde ne gibi önlemler alınabileceğine örnek teşkil etmek ve benzer ihlaller yaşanması halinde Kurulun muhtemel tavrını ortaya koymak amacıyla uygun bulduğu kararları Kurumun web sitesinde özet olarak veya aynen yayımlayabilmektedir. Kanunun 12 nci maddesinde ise “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü yer almaktadır. Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır. Kuruma intikal eden veri ihlali bildirimlerinde ilgili kişiye veri sorumlusu tarafından bildirim yapılmamışsa veya yapılan bildirim “Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin”, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun değilse, etkilenen kişi sayısı, etkilenen kişisel veriler ve bu verilerin niteliği, ve olası sonuçlar gibi hususlar dikkate alınarak Kurul kararı ile Kurum internet sayfasında yayınlayabilmektedir. Dolayısıyla Kurul tarafından veri ihlali bildirimlerinin ilan edilmesine karar verilmesi sürecinde birden fazla kriter esas alınmakta olup, bu kriterler bir bütün olarak değerlendirilmektedir. Bu bildirimler belirli bir disiplin içerisinde hareket edilerek değerlendirilmektedir. Örneğin; ilan edilmesi sürecinde etkilenen kişi sayısı önemli ölçütlerden biri olmakla birlikte Kuruma yapılan bazı veri ihlali bildirimlerinde ihlalden etkilenen kişi sayısının belirtilmediği ya da tespit edilemediği görülmektedir. Bu durumda söz konusu ihlal neticesinde çok sayıda özel nitelikli kişisel verilerin etkilenmesi veya veri sorumlusunun çok yaygın bir müşteri ağına sahip olması gibi ölçütler ihlalin ilgili kişiler üzerinde olumsuz etki doğurma riskinin yüksek olmasına sebebiyet verebileceği göz önüne alınarak Kurul tarafından bu bildirimin Kurumun internet sayfasında yayınlanmasına karar verilebilmektedir. Kurulun yayınlama kararı verdiği durumlarda veri sorumlusu ismiyle birlikte yayınlanmaktadır. Ayrıca Kurul, veri güvenliği ihlal bildirimleri dışındaki yayınlanmasını uygun bulduğu kararları genellikle unvan belirtmeksizin yayınlamaktadır." |
Yani KVKK çoğu ihlali yayınlamadığını söylüyor. Hatta kamu kurumlarındaki --bilmemiz gereken-- veri ihlallerini yayınlamadığına dair çok sayıda duyumumuz da var. Bunu rakam olarak da sorduk. Cevap şu şekilde;
"Yurt dışından gelenler de dahil olmak üzere bugüne kadar Kurula intikal eden başvuru sayısı 9344, bunlardan 7744’ü sonuçlandırıldı. İhlal bildirimlerinden 95 tanesi ilan edildi. Ayrıca Kurulun görev alanına giren çeşitli konularda 548 adet hukuki görüş verildi." |
Bu arada kanunun 2016'da yazıldığı tarihte Avrupa Birliği ile uyumlandırılması için belli bir süresi vardı. Ama aradan geçen 5 yılda bir güncelleme yapılmadı. Bunu da sorduk. Cevap şu şekilde:
"Bilindiği üzere, 11 inci Kalkınma Planında yer alan hedeflerden biri de 6698 sayılı Kanunun Avrupa Birliği (AB) Genel Veri Koruma Tüzüğü dikkate alınarak güncellenmesidir. Vize Serbestisi Diyaloğu kapsamında da kişisel verilerin korunması mevzuatının AB mevzuatı ile uyumlaştırılması gerekmektedir. Yine, Adalet Bakanlığı İnsan Hakları Eylem Planının ilgili kısmında, Kişisel Verilerin Korunması Kanununun AB standartları ile uyumlu hale getirilmesi, Hazine ve Maliye Bakanlığı Ekonomi Reformları Eylem Planının ilgili kısmında, AB Genel Veri Koruma Tüzüğünün yurt dışına veri aktarılmasına yönelik hükümleri esas alınarak Kişisel Verilerin Korunması Kanununda gerekli değişikliklerin yapılması öngörülmüştür. Bu çerçevede, Kurum nezdinde Avrupa Genel Veri Koruma Tüzüğü ile 6698 sayılı Kanunun uyumlaştırma çalışmaları devam etmekte olup, konuya ilişkin olarak ilgili diğer kurum ve kuruluşlarla koordineli şekilde çalışılmaktadır." |
Güvenli Liman tanımı bugünün ticari dünyasında kullanılan ve ihracatı/ithalatı rahatlatan bir kavram. Avrupa Birliği sadece bu kavram sayesinde, ABD'yi internet vergisinde dize getirebildi. Bu nedenle önemsediğimiz bir tanım. Bu konuda KVKK'ya yakın kaynaklar şöyle diyor;
"6698 sayılı Kanun çerçevesinde güvenli ülke hususu düzenlenmiştir. 6698 Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken bir süreç sonrasında ancak karşılıklı olarak ilgili ülkenin de ülkemizi güvenli ülke kabul etmesi halinde sonuçlandırılabilecektir. Mevcut ve potansiyel ticari ilişkiler, coğrafi ve kültürel bağlar ve siyasi-diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmektedir. Bu kapsamda çalışmalar sürdürülmekte olup; güvenli ülke statüsü tayinine ilişkin çalışmalar ilgili Bakanlıklar ile yakın iş birliği içerisinde yürütülmektedir. Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır. Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır. Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurum tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir." |
KVKK'nın "konferanslara katılmak" ya da "eğitim düzenlemek", "kendilerine bildirilen veri ihlallerini incelemek" ve "veri ihlalleri duyurusu yapmak" dışında proaktif de çalışması beklenmez mi? Mesela çok sayıda e-Ticaret sitesinden veri sızıntısı duyuyoruz. Bu sızıntılara karşı 2 faktörlü şifre ya da SALT gibi önlemleri zorlayamazlar mı? Bunu da sorduk, cevap şöyle;
"Aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması bir çok saldırının başarılı olmasına ve kişisel veri ihlallerine imkan sağlamaktadır. Bu durum ilgili kişilere ait çok sayıda kişisel veriye erişilebilmesini mümkün hale getirmekte olup ilgili kişiler nezdinde olumsuz sonuç doğurma olasılığını da arttırmaktadır. Bilindiği üzere Kişisel Verilerin Korunması Kanununda veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu; diğer yandan Kurulun görev ve yetkileri arasında veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmanın bulunduğu, öte yandan ise şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurulun bu konuda ilke kararı alıp ve bu kararı yayımlayacağı hükme bağlanmıştır. Bu çerçevede; bahse konu husustan kaynaklanan ihlallerinin meydana gelmesinin önlenmesini ve meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını sağlamak üzere Kurulumuz veri güvenliği rehberi yayınlamış ve ilke kararı almıştır. Bu kapsamda veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesinin önüne geçilmesi amacıyla ilke kararı yayımlanmıştır. Buna göre söz konusu amacı gerçekleştirebilmek bakımından uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumluları bilgilendirilmiştir. Öte yandan Kişisel Veri Güvenliği Rehberi’nde yetki matrisi, yetki kontrol ve buna benzer birtakım önlemlerin alınması gerektiğinin altı çizilmiştir." |
Son olarak tabi ki, Veri Sorumlularının kayıt edildiği veri tabanını sorduk. Burayı tıklarsanız VERBİS kayıtlarının 2019'dan beri çok kere uzatıldığını kendiniz de haberlerden görebilirsiniz. Bunun ne zaman tamamlanacağını da sorduk. Cevap şu şekilde;
"Tüm dünyada olduğu gibi ülkemizde de etkisini devam ettiren pandemi nedeniyle Veri Sorumluları Siciline kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı bilinmektedir. Bu sebeple VERBİS kayıt süreleri Kişisel Verileri Koruma Kurulu tarafından 2021 yılı sonuna kadar uzatıldı. İçinde bulunduğumuz pandemi koşullarının olumsuz etkilerini en aza indirmek ve veri sorumlularının Sicile kayıt yükümlülüklerini doğru bir biçimde yerine getirebilmesi adına Kurum olarak her türlü destek sağlanıyor. Kurum tarafından Kişisel verilerin korunması hususunda proaktif ve çözüm odaklı bir çalışma tarzı benimsenmekte. Bu nedenle paydaşlar arasında sürekli etkin bir iş birliği ve fikir alışverişi yapılıyor. Bu bilinçle, hem kamu hem de özel sektörü içine alacak şekilde çeşitli çalışmalar yürütülüyor. Bu kapsamda, gerçekleştirilen farkındalık toplantıları ve ALO 198 bilgi danışma merkezinin yanı sıra, veri sorumlularına rehberlik etmek üzere hazırlanan VERBİS Kılavuzu, Sorularla VERBİS dokümanı ve videolar hazırlanarak Kurumun resmi internet sayfasında kamuoyunun bilgisine sunulmuştur. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kişisel veri işleme süreçlerinin şeffaflığı ve veri sorumlularının hesap verebilirliği açısından çok önemli. Kişilerin verileri üzerinde hakimiyetinin sağlanması, bir anayasal hak olan kişisel verilerinin korunmasını isteme hakkının kullanılmasının temelini teşkil etmektedir. Veri sorumlularının Sicile kayıt yükümlülüklerini yerine getirirken her zaman Kurum desteğinin veri sorumluları ile birlikte olduğunu bilmeleri, bu yükümlülüğün gereği gibi yerine getirilmesinde izlenmesi gereken adımları takip etmeleri son derece önemlidir. Sicile kayıt yükümlülüğü bulunan veri sorumlularının kişisel veri işleme envanteri ve saklama ve imha politikasını doğru, güncel ve özenli bir biçimde hazırlamaları halinde Sicile kayıt yükümlülüğünü gereği gibi yerine getirmeleri daha kolay olacaktır." |
Ocak ayındaki Whatsapp'ın kişisel verilerle ilgili aktarma zorlamasında KVKK'nın geride kaldığını ve Rekabet Kurumu'nun derhal müdahele ettiğini gördüğümüzde üzülmüştük [5]. Rekabet Kurumu 15 şubatta soruşturmasının sonucunu açıkladı ve Whatsapp'a dur dedi ama KVKK hâlâ inceleme sürdürüyor.
KVKK'ya haziran ayında neden soruşturma değil de inceleme açtıklarını sorduğumuzda cevap şöyleydi [6];
"Kanunun ilgili maddesinde Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı düzenlenmiş olup, Kurul, veri sorumluları hakkında görev alanına giren konularda inceleme yaparak karar vermektedir. Aslında bu inceleme de soruşturma gibi değerlendirilmektedir. Çünkü inceleme sonucunda birtakım yaptırımlar uygulanmaktadır." |
Özetle KVKK'nın;
1 - Bugün de yaptığı gibi veri ihlallerini duyurmaya devam etmesini istiyoruz. Ama sadece seçtiklerini ya da az birazını değil, kamu ya da özel hepsini duyurmalı ki, kullanıcılar önlem alsın. Aksi takdirde azını duyurup, çoğunu duyurmamak işlevin yerine gelmemesi anlamına geliyor. KVKK bunu bile tam yapmıyorsa, ne yapıyor?
2 - Kanunun uyumlandırılması, güvenli liman gibi çalışmaların hızlandırılması lazım. Ya da yapılmıyorsa, yapılması.
3 - Kişisel veriler sızdıktan sonra değil proaktif yani önceden önlem alınması gerekli. Bunlara dair bir çalışma görmüyoruz. Kişisel Verilerimizi koruma konusunda KVKK’dan daha aktif olmasını istiyoruz.